KeyOne Gestión de Certificados

• Flujos de trabajo
  KeyOne XRA destaca por su capacidad de adaptación a las necesidades de negocio, tanto en los procesos de registro de usuario como en la entrega de certificados digitales. Su gestor de flujo de trabajo permite configurar el sistema de forma sencilla y fiable para establecer qué acciones de procesado de datos conformarán el proceso de registro y qué datos deberá intercambiar el sistema con usuarios, operadores y aplicaciones.
• Mayor control y gestión
  KeyOne gestiona de forma automática las claves de la CA, aportando mayor facilidad de gestión y control de la Infraestructura de Clave Pública (PKI). Es posible definir que eventos deben ejecutarse para la renovación de claves, incorpora mecanismos para adaptar la vigencia máxima de los certificados digitales y gestiona la coexistencia con las claves antiguas de la CA (usándolas de forma transparente para la revocación de los certificados vigentes generados con dichas claves).
• Integración y ahorro de costes
  KeyOne CA y KeyOne XRA pueden operar como un componente de servicio especializado para Arquitecturas Orientadas a Servicios (SOA), pudiendo configurarse su interfaz SOAP/XML de forma sencilla para determinar que funciones deben exponerse como servicio web para usarse por parte de las aplicaciones corporativas, aportándoles la capacidad para solicitar o revocar certificados digitales.
  KeyOne XRA dispone de una amplia conectividad que cubre las necesidades de acceso o actualización de datos en directorios, bases de datos, servicios web, archivos, mensajería electrónica o dispositivos hardware (p. ej. impresoras de tarjetas inteligentes).
• Máxima seguridad y fiabilidad
  KeyOne CA y KeyOne XRA se han diseñado para facilitar el cumplimiento recomendaciones de seguridad para sistemas de gestión de certificados digitales para firmas electrónicas (CWA 14167-1) en cuanto a roles y eventos. El sistema soporta HSMs FIPS 140-2 nivel 3 con mecanismos de control de acceso de "N de M" operadores, capaces de ofrecer las máximas garantías de protección de las claves privadas de la CA y RA. La versión 3.0 de KeyOne CA está certificada CC EAL4+ (ALC_FLR.2) y la versión 4.0 está en proceso de certificación.
• Completa y escalable
  Los productos PKI de está optimizado para la gestión de grandes volúmenes de certificados e incorpora la capacidad de gestión de CRLs con múltiples puntos de distribución, apropiadas para infraestructuras gubernamentales. El conjunto de componentes de la familia KeyOne aportan una solución completa para PKIs avanzadas, permitiendo incorporar cualquier procedimiento de registro (KeyOne XRA, KeyOne LXRA o SOAP/WS), autoridades de validación (KeyOne VA) y autoridades de sellado de tiempo (KeyOne TSA).

KeyOne CA puede funcionar como CA raíz, CA subordinada, CA cruzada o CA puente. En función del tipo de CA operará en conexión con el producto KeyOne XRA de Safelayer o con una aplicación que asume las funciones de registro de usuarios o aplicaciones. Opcionalmente, puede funcionar en conexión con el producto KeyOne VA para el servicio de validación de certificados digitales. Las funciones clave de KeyOne CA son las siguientes:

• Generar y custodiar las claves privadas mediante dispositivos criptográficos (HSM).
• Gestionar de forma automática el ciclo de vida y la coexistencia de las claves privadas de la CA.
• Gestionar las RAs reconocidas y asignarles políticas de certificación.
• Generar los certificados digitales ITU-T X509v3 para usuarios o aplicaciones, solicitados por las RAs.
• Generar y publicar las listas de revocación (CRLs) que incluyen los certificados revocados o suspendidos.
• Informar del estado de los certificados digitales al servicios de validación (VA) para su publicación mediante OCSP.
• Permitir la custodia y recuperación segura de las claves de cifrado, para supuestos de pérdida.
• Garantizar la auditoría segura de los eventos y acciones sobre el sistema.

KeyOne XRA funciona como servicio de registro de usuarios o aplicaciones (RA) para solicitar la generación o revocación de certificados digitales (en conexión con el producto KeyOne CA). En concreto, el sistema puede combinar los siguientes procedimientos de registro:

• En el procedimiento presencial, el solicitante obtiene los certificados en un solo paso (tras ejecutar la correspondiente petición). En concreto, la aplicación cliente KeyOne LXRA (Autoridad de Registro Local) para operadores de registro permite desplegar un cómodo sistema de registro presencial (cercano al solicitante y gestionado de forma centralizada por KeyOne XRA). De forma opcional, es posible integrar los mecanismos de registro con el sistema de gestión de tarjetas (con capacidad de personalizar el chip y los datos multimedia mediante una impresora de tarjetas inteligentes).
• En el procedimiento remoto, los procesos de solicitud y obtención de certificados se ejecutan de forma remota. Dicho procedimiento admite solicitudes preautorizadas o que se deberán aprobar posteriormente por un operador de registro. Además, la aprobación, renovación y revocación de certificados puede gestionarse desde una aplicación corporativa que acceda mediante SOAP/XML a KeyOne XRA (donde queda centralizada toda la información).
• En el procedimiento automático, la información sobre usuarios o aplicaciones se obtiene de las siguientes fuentes: base de datos, directorio o una aplicación corporativa. La conexión con KeyOne XRA se realiza de forma segura (mediante HTTPS y SOAP/XML). De este modo, pueden invocarse remotamente funciones del sistema de registro (expuestas como servicio web) para aprobar altas, renovaciones o revocaciones de certificado digital.

En KeyOne, el ciclo de vida de los usuarios, claves y certificados sigue un flujo de trabajo plenamente configurable. De este modo, el funcionamiento por defecto de las aplicaciones KeyOne (en especial KeyOne CA y KeyOne XRA) puede personalizarse para adaptarse a las distintas necesidades de gestión de claves y procedimientos de registro.

Las operaciones configurables mediante flujo de trabajo comprenden tanto la gestión de aplicación (e. g. emisión y renovación de claves propias) como la prestación de servicios a terceros (e. g. aprobación de peticiones de certificación en KeyOne XRA, emisión y publicación de certificados en KeyOne CA).

Además, dichas tareas pueden automatizarse (e. g. renovación automática de claves propias de TSA o VA). De este modo, al minimizar los procedimientos manuales, se garantiza la continuidad del servicio. Las posibilidades de configuración del flujo de trabajo abarcan todos los ámbitos de ejecución:

• Funciones (e. g. aprobar usuario, crear petición de certificado) accesibles mediante SOAP/XML.
• Entidades (e. g. entidad usuario, entidad certificado).
• Asistentes, formularios, vistas o layouts para ejecutar el flujo de trabajo desde la interfaz gráfica de aplicación.
• Integración con recursos externos (e. g. bases de datos corporativas, portal del cliente, herramientas de reporting).
• Automatismos (e. g. envío notificaciones por correo electrónico, publicación de certificados).
• Recursos de idioma de la interfaz de usuario (e. g. texto de los formularios, descripción de los parámetros, mensajes de error).

Ejemplo flujo de registro de usuarios y emisión de certificados:

En la siguiente figura se muestra una Autoridad de Certificación (CA) operada por KeyOne CA y su interacción con los diferentes productos KeyOne o de terceros, agrupando diferentes opciones para los servicios de registro y de publicación del estado de certificados soportados.

• El sistema de registro se puede implementar mediante el producto KeyOne XRA y/o opcionalmente mediante una aplicación corporativa que asume el rol de RA (no representado en la figura).
• La publicación del estado de los certificados se podrá realizar mediante CRLs y/o OCSP, usando un directorio (LDAP) o el producto KeyOne VA.
• En la figura, también se ilustra un HSM que se usará para la protección de las claves privadas de la CA.

En la figura también se muestra el detalle de una Autoridad de Registro (RA) operada por KeyOne XRA y su interacción con los diferentes componentes de la arquitectura y otros productos KeyOne (KeyOne CA y KeyOne LXRA) para ofrecer los diferentes tipos de registro soportados (presencial, remoto o automático).